技術(shù)特征:1.一種目標(biāo)樣本文件的檢測方法,其中���,包括:
從數(shù)據(jù)源接收目標(biāo)樣本文件�,將所述目標(biāo)樣本文件投放到沙箱中運行��;
監(jiān)聽所述目標(biāo)樣本文件在沙箱中運行的過程中是否發(fā)生系統(tǒng)進程令牌替換事件��;
是則����,確定所述目標(biāo)樣本文件是威脅樣本文件����;
否則���,確定所述目標(biāo)樣本文件不是威脅樣本文件。
2.如權(quán)利要求1所述的方法���,其中��,在所述將所述目標(biāo)樣本文件投放到沙箱中運行之前���,該方法進一步包括:
獲取沙箱中具有系統(tǒng)級權(quán)限的各個系統(tǒng)進程的令牌信息。
3.如權(quán)利要求2所述的方法�����,其中�,所述監(jiān)聽所述目標(biāo)樣本文件在沙箱中運行的過程中是否發(fā)生系統(tǒng)進程令牌替換事件包括:
監(jiān)聽所述目標(biāo)樣本文件在沙箱中執(zhí)行的指定操作事件;
當(dāng)監(jiān)聽到指定操作事件發(fā)生時��,攔截所述指定操作事件��,獲取當(dāng)前所述目標(biāo)樣本文件對應(yīng)的進程的令牌信息��;
將當(dāng)前所述目標(biāo)樣本文件對應(yīng)的進程的令牌信息與沙箱中各個系統(tǒng)進程的令牌信息進行匹配�����,如果當(dāng)前所述目標(biāo)樣本文件對應(yīng)的進程的令牌信息命中沙箱中系統(tǒng)進程的令牌信息,確定所述目標(biāo)樣本文件在沙箱中運行的過程中發(fā)生系統(tǒng)進程令牌替換事件�;否則,確定所述目標(biāo)樣本文件在沙箱中運行的過程中未發(fā)生系統(tǒng)進程令牌替換事件���。
4.如權(quán)利要求3所述的方法�,其中����,該方法進一步包括:
當(dāng)確定所述目標(biāo)樣本文件在沙箱中運行的過程中發(fā)生系統(tǒng)進程令牌替換事件時,強制結(jié)束所述指定操作事件����;
當(dāng)確定所述目標(biāo)樣本文件在沙箱中運行的過程中未發(fā)生系統(tǒng)進程令牌替換事件時,允許所述指定操作事件繼續(xù)執(zhí)行���。
5.如權(quán)利要求3所述的方法�����,其中�����,所述獲取沙箱中具有系統(tǒng)級權(quán)限的各個系統(tǒng)進程的令牌信息包括:
獲取沙箱中具有系統(tǒng)級權(quán)限的各個系統(tǒng)進程的進程標(biāo)識����;
對于每個系統(tǒng)進程�,根據(jù)該系統(tǒng)進程的進程標(biāo)識,獲取該系統(tǒng)進程的EPROCESS結(jié)構(gòu)地址����,進一步獲取該系統(tǒng)進程的EPROCESS結(jié)構(gòu)地址中的Token域的指針值。
6.一種目標(biāo)樣本文件的檢測裝置��,其中��,包括:
樣本接收單元�����,適于從數(shù)據(jù)源接收目標(biāo)樣本文件�;
檢測處理單元,適于將所述目標(biāo)樣本文件投放到沙箱中運行����,監(jiān)聽所述目標(biāo)樣本文件在沙箱中運行的過程中是否發(fā)生系統(tǒng)進程令牌替換事件;是則�����,確定所述目標(biāo)樣本文件是威脅樣本文件;否則�,確定所述目標(biāo)樣本文件不是威脅樣本文件。
7.如權(quán)利要求6所述的裝置����,其中,
所述檢測處理單元���,進一步適于在所述將所述目標(biāo)樣本文件投放到沙箱中運行之前����,獲取沙箱中具有系統(tǒng)級權(quán)限的各個系統(tǒng)進程的令牌信息����。
8.如權(quán)利要求7所述的裝置,其中���,
所述檢測處理單元�����,適于監(jiān)聽所述目標(biāo)樣本文件在沙箱中執(zhí)行的指定操作事件�;當(dāng)監(jiān)聽到指定操作事件發(fā)生時,攔截所述指定操作事件�����,獲取當(dāng)前所述目標(biāo)樣本文件對應(yīng)的進程的令牌信息���;將當(dāng)前所述目標(biāo)樣本文件對應(yīng)的進程的令牌信息與沙箱中各個系統(tǒng)進程的令牌信息進行匹配,如果當(dāng)前所述目標(biāo)樣本文件對應(yīng)的進程的令牌信息命中沙箱中系統(tǒng)進程的令牌信息���,確定所述目標(biāo)樣本文件在沙箱中運行的過程中發(fā)生系統(tǒng)進程令牌替換事件�����;否則���,確定所述目標(biāo)樣本文件在沙箱中運行的過程中未發(fā)生系統(tǒng)進程令牌替換事件。
9.如權(quán)利要求8所述的裝置��,其中�,
所述檢測處理單元,進一步適于當(dāng)確定所述目標(biāo)樣本文件在沙箱中運行的過程中發(fā)生系統(tǒng)進程令牌替換事件時����,強制結(jié)束所述指定操作事件�����;當(dāng)確定所述目標(biāo)樣本文件在沙箱中運行的過程中未發(fā)生系統(tǒng)進程令牌替換事件時��,允許所述指定操作事件繼續(xù)執(zhí)行�����。
10.如權(quán)利要求8所述的裝置����,其中��,
所述檢測處理單元���,適于獲取沙箱中具有系統(tǒng)級權(quán)限的各個系統(tǒng)進程的進程標(biāo)識���;對于每個系統(tǒng)進程,根據(jù)該系統(tǒng)進程的進程標(biāo)識�����,獲取該系統(tǒng)進程的EPROCESS結(jié)構(gòu)地址�����,進一步獲取該系統(tǒng)進程的EPROCESS結(jié)構(gòu)地址中的Token域的指針值。